{"id":47626,"date":"2022-08-16T05:31:17","date_gmt":"2022-08-16T03:31:17","guid":{"rendered":"https:\/\/cyberant.com\/de-vattenfall-case-responsible-disclosure\/"},"modified":"2023-11-09T12:22:41","modified_gmt":"2023-11-09T11:22:41","slug":"de-vattenfall-case-responsible-disclosure","status":"publish","type":"post","link":"https:\/\/cyberant.com\/en\/de-vattenfall-case-responsible-disclosure\/","title":{"rendered":"De Vattenfall case \u2013 Responsible Disclosure"},"content":{"rendered":"\n<style type=\"text\/css\" data-created_by=\"avia_inline_auto\" id=\"style-css-av-l80kt00g-984e131aade00aeb471c614601b7b1d3\">\n#top .av_textblock_section.av-l80kt00g-984e131aade00aeb471c614601b7b1d3 .avia_textblock{\nfont-size:40px;\n}\n<\/style>\n<section  class='av_textblock_section av-l80kt00g-984e131aade00aeb471c614601b7b1d3 '   itemscope=\"itemscope\" itemtype=\"https:\/\/schema.org\/BlogPosting\" itemprop=\"blogPost\" ><div class='avia_textblock'  itemprop=\"text\" ><h1><strong>De Vattenfall case \u2013 Responsible Disclosure<\/strong><\/h1>\n<\/div><\/section>\n\n<style type=\"text\/css\" data-created_by=\"avia_inline_auto\" id=\"style-css-av-l8a02wg7-06f649790fff5e329af300254bae7417\">\n#top .hr.hr-invisible.av-l8a02wg7-06f649790fff5e329af300254bae7417{\nheight:30px;\n}\n<\/style>\n<div  class='hr av-l8a02wg7-06f649790fff5e329af300254bae7417 hr-invisible  avia-builder-el-1  el_after_av_textblock  el_before_av_textblock '><span class='hr-inner '><span class=\"hr-inner-style\"><\/span><\/span><\/div>\n\n<style type=\"text\/css\" data-created_by=\"avia_inline_auto\" id=\"style-css-av-l6vqx9lk-833d7c0205f7c144753ff26ccce77030\">\n#top .av_textblock_section.av-l6vqx9lk-833d7c0205f7c144753ff26ccce77030 .avia_textblock{\nfont-size:16px;\n}\n<\/style>\n<section  class='av_textblock_section av-l6vqx9lk-833d7c0205f7c144753ff26ccce77030 '   itemscope=\"itemscope\" itemtype=\"https:\/\/schema.org\/BlogPosting\" itemprop=\"blogPost\" ><div class='avia_textblock'  itemprop=\"text\" ><p>Als ethisch hacker doe ik jaarlijks verschillende meldingen bij bedrijven van grote datalekken. Ik ben er vaak niet eens naar op zoek, kom ze meestal bij toeval tegen en ze vallen mij gewoon op. Ik meldde bij een webshop dat ik de gegevens 40.000 klanten kon inzien, bij een marketingbureau dat ik meer dan 1.000 websites over kon nemen en bij een bank dat ik de mailadressen van klanten kon inzien. Soms krijg ik een beloning, soms niet eens een \u201cdank je wel\u201d. Ik schrijf hier eigenlijk nooit over. Totdat ik een lek ontdekte bij Vattenfall.<\/p>\n<p>Administratie is niet mijn sterkste punt. Toen ik bericht kreeg van Vattenfall dat ik mijn meterstanden door moest geven belandde dat op de \u201cdat moet ik nog een keer doen\u201d-stapel. Gelukkig hebben ze hier ervaring mee en sturen ze je herinneringen. Zo\u2019n herinnering sturen ze bijvoorbeeld per SMS.<\/p>\n<picture><source srcset=\"https:\/\/cyberant.com\/wp-content\/webp-express\/webp-images\/doc-root\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_1-300x178.jpg.webp 300w, https:\/\/cyberant.com\/wp-content\/webp-express\/webp-images\/doc-root\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_1-413x244.jpg.webp 413w, https:\/\/cyberant.com\/wp-content\/webp-express\/webp-images\/doc-root\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_1.jpg.webp 750w\" type=\"image\/webp\" sizes=\"(max-width: 450px) 100vw, 450px\" \/><img decoding=\"async\" class=\"centreerimg size-medium wp-image-44593 aligncenter webpexpress-processed\" src=\"https:\/\/cyberantcom.wpengine.com\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_1-300x178.jpg\" sizes=\"(max-width: 450px) 100vw, 450px\" srcset=\"https:\/\/cyberant.com\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_1-300x178.jpg 300w, https:\/\/cyberant.com\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_1-413x244.jpg 413w, https:\/\/cyberant.com\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_1.jpg 750w\" alt=\"\" width=\"450\" height=\"267\" \/><\/picture>\n<p>Wat superhandig is, is dat als je op de link klikt, je direct je meterstanden in kan voeren. Alles was al ingevuld: mijn naam, adres, contactgegevens, nummer van de meter en de laatst bekende meterstand. Alleen de meterstanden zelf hoefde ik nog maar in te vullen. Hier maakte ik dan ook dankbaar gebruik van.<\/p>\n<p>Een dag later bedacht ik mij hoe raar dit eigenlijk was. In een SMS kun je namelijk niet heel veel tekens kwijt, dus alleen op basis van de code \u201ch2G5\u201d zijn al mijn gegevens in te zien. Ik begon te rekenen hoeveel combinaties er theoretisch mogelijk waren. Dit zijn er (26 + 26 + 10)^4 = 14.776.336. Dat lijkt veel, maar met 100 pogingen per seconde ben je na 41 uur klaar. Ik besloot om er een paar duizend te proberen. Al snel kon ik inderdaad de gegevens van andere klanten inzien en hun meterstanden doorgeven.<\/p>\n<h3><strong>Impact lek<\/strong><\/h3>\n<p>Een van de basisregels van een responsible disclosure is dat je proportioneel te werk gaat. Dat betekent in dit geval dat je niet de servers overbelast en niet de gegevens van alle klanten zomaar download. Het is belangrijk om je aan deze regels te houden, omdat toen ik de aanval startte feitelijk computervredebreuk pleegde, een strafbaar feit waar <a href=\"https:\/\/www.om.nl\/onderwerpen\/cybercrime\/hack_right\/wetsartikel-computervredebreuk\">een gevangenisstraf van ten hoogste vier jaar op staat.<\/a> Het Openbaar Ministerie start echter geen onderzoek (ook niet in geval van aangifte) wanneer het gaat om een responsible disclosure en de ethisch hacker zich houdt aan de voorwaarden.<\/p>\n<p>In dit geval kon ik aan de reactie van de server afleiden of op een bepaalde code (zoals in mijn geval h2G5) gegevens aanwezig waren, zonder deze gegevens daadwerkelijk te hoeven te downloaden. Op deze manier kon ik vaststellen dat het om de gegevens van 25.000 huishoudens gaat. Het lek is redelijk makkelijk te vinden, waardoor de kans aanwezig is dat iemand dit al eerder gevonden heeft. Deze gegevens zijn bij uitstek ideaal voor fraude, bijvoorbeeld door een \u201cnacalculatie\u201d op te sturen voor het verbruikte gas \/ elektra. Maar ook het manipuleren van meterstanden in de factureringssystemen kan vervelende gevolgen hebben.<\/p>\n<h3><strong>Reactie Vattenfall<\/strong><\/h3>\n<p>Vattenfall heeft een responsible disclosure programma waarin ze beloven binnen 5 werkdagen te reageren en aan te geven wanneer het probleem opgelost wordt. De melding moet gedaan worden bij een extern bedrijf welke de afhandeling regelt.<\/p>\n<p>Op 28 oktober deed ik melding van het lek en een dag later kreeg ik bevestiging van de tussenpartij. Ze erkenden het probleem en gaven aan Vattenfall ge\u00efnformeerd te hebben. Daarna werd het stil.<\/p>\n<p>Omdat er halverwege december, ondanks herinneringen, nog steeds geen inhoudelijke reactie was, besloot ik het probleem wereldkundig te maken. Dit is een zwaar middel, aangezien een dergelijk bericht vaak leidt tot imagoschade. Toch woog het belang van de 25.000 huishoudens zwaarder, zij weten immers niet eens dat ze gevaar lopen.<\/p>\n<picture><source srcset=\"https:\/\/cyberant.com\/wp-content\/webp-express\/webp-images\/doc-root\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_2-300x67.png.webp 300w, https:\/\/cyberant.com\/wp-content\/webp-express\/webp-images\/doc-root\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_2-768x172.png.webp 768w, https:\/\/cyberant.com\/wp-content\/webp-express\/webp-images\/doc-root\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_2-413x92.png.webp 413w, https:\/\/cyberant.com\/wp-content\/webp-express\/webp-images\/doc-root\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_2.png.webp 903w\" type=\"image\/webp\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><img decoding=\"async\" class=\"centreerimg size-medium wp-image-44595 aligncenter webpexpress-processed\" src=\"https:\/\/cyberantcom.wpengine.com\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_2-300x67.png\" sizes=\"(max-width: 600px) 100vw, 600px\" srcset=\"https:\/\/cyberant.com\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_2-300x67.png 300w, https:\/\/cyberant.com\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_2-768x172.png 768w, https:\/\/cyberant.com\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_2-413x92.png 413w, https:\/\/cyberant.com\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_2.png 903w\" alt=\"\" width=\"600\" height=\"134\" \/><\/picture>\n<p>Na een aantal dagen begon het bericht viral te gaan. Honderden mensen liketen het bericht en in totaal kreeg de post meer dan 84.000 views. Verschillende personen die bij Vattenfall werkten bekeken mijn profiel. Na een week verscheen een reactie van Vattenfall op LinkedIn waarin geclaimd werd dat ze al die tijd heel druk bezig waren, maar vergeten waren op mijn berichten te reageren. Gelukkig hebben ze het inmiddels opgelost.<\/p>\n<picture><source srcset=\"https:\/\/cyberant.com\/wp-content\/webp-express\/webp-images\/doc-root\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_3-300x146.png.webp 300w, https:\/\/cyberant.com\/wp-content\/webp-express\/webp-images\/doc-root\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_3-413x201.png.webp 413w, https:\/\/cyberant.com\/wp-content\/webp-express\/webp-images\/doc-root\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_3.png.webp 579w\" type=\"image\/webp\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><img decoding=\"async\" class=\"centreerimg size-medium wp-image-44597 aligncenter webpexpress-processed\" src=\"https:\/\/cyberantcom.wpengine.com\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_3-300x146.png\" sizes=\"(max-width: 600px) 100vw, 600px\" srcset=\"https:\/\/cyberant.com\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_3-300x146.png 300w, https:\/\/cyberant.com\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_3-413x201.png 413w, https:\/\/cyberant.com\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_3.png 579w\" alt=\"\" width=\"600\" height=\"292\" \/><\/picture>\n<p>De fix bleek echter een haastklus geweest te zijn. Er was inderdaad iets veranderd, maar alle gegevens waren nog steeds inzichtelijk. Het gapende gat was nog net zo groot. Uiteindelijk zou Vattenfall 3 pogingen nodig hebben om het probleem daadwerkelijk op te lossen.<\/p>\n<p>Een aantal dagen later reageerde Vattenfall opnieuw waarin de suggestie gewekt werd dat ik wel op de hoogte gehouden werd, maar niet op de juiste plek keek.<\/p>\n<picture><source srcset=\"https:\/\/cyberant.com\/wp-content\/webp-express\/webp-images\/doc-root\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_4-300x231.png.webp 300w, https:\/\/cyberant.com\/wp-content\/webp-express\/webp-images\/doc-root\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_4.png.webp 355w\" type=\"image\/webp\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><img decoding=\"async\" class=\"centreerimg size-medium wp-image-44599 aligncenter webpexpress-processed\" src=\"https:\/\/cyberantcom.wpengine.com\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_4-300x231.png\" sizes=\"(max-width: 600px) 100vw, 600px\" srcset=\"https:\/\/cyberant.com\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_4-300x231.png 300w, https:\/\/cyberant.com\/wp-content\/uploads\/2022\/03\/Vattenfal-Case-img_4.png 355w\" alt=\"\" width=\"600\" height=\"462\" \/><\/picture>\n<p>Een bezorgde klant melde navraag gedaan te hebben bij Vattenfall. Deze kreeg als reactie dat Vattenfall geen indicatie had dat er ook daadwerkelijk gegevens voor iemand anders zichtbaar geweest zijn.<\/p>\n<p>Uiteindelijk heeft Vattenfall op 3 januari het lek succesvol weten te dichten. Dit was de derde poging. Als dank heb ik een beloning gekregen van \u20ac250,- en hebben ze aangegeven een interne evaluatie te doen op deze case. Tot op heden zijn klanten niet ge\u00efnformeerd over dat hun gegevens toegankelijk waren.<\/p>\n<h3><strong>Hoe wel om te gaan met Responsible Disclosures?<\/strong><\/h3>\n<p>Waar gewerkt wordt, worden fouten gemaakt. Het is daarom belangrijk dat voordat software naar productie gaat, gecontroleerd wordt op veiligheid. Dit kan met een zogenaamde\u00a0<a href=\"https:\/\/cyberantcom.wpengine.com\/pentest\/\">pentest<\/a>. Maar zelfs dan kan het gebeuren dat er iets doorheen glipt. Belangrijk is daarom te blijven communiceren met de melder en een openstaand lek snel te dichten of tijdelijk een systeem te sluiten. Daarnaast is de kans aanwezig dat de melder niet de eerste is die het lek ontdekt, controleer daarom of er al eerder misbruik van is gemaakt. Als laatste is het gebruikelijk om de melder indien het gaat om een serieus lek een beloning te geven. Niet alleen zit er meestal een hoop tijd in een degelijke melding, maar in sommige gevallen zijn ethische hackers ook afhankelijk van deze bounties.<\/p>\n<div class=\"text-center\">\n<div class=\"post-thumbnail\"><\/div>\n<\/div>\n<\/div><\/section>\n<div  class='hr av-av_hr-307978af74d3c5b02bffe77327c8ba14 hr-default  avia-builder-el-3  el_after_av_textblock  el_before_av_social_share '><span class='hr-inner '><span class=\"hr-inner-style\"><\/span><\/span><\/div>\n<div  class='av-social-sharing-box av-av_social_share-7c235cc5cbd01ef3317e55b5a6f8fb37 av-social-sharing-box-default  avia-builder-el-4  el_after_av_hr  avia-builder-el-last  av-social-sharing-box-fullwidth'><div class=\"av-share-box\"><h5 class='av-share-link-description av-no-toc '>Deel dit artikel<\/h5><ul class=\"av-share-box-list noLightbox\"><li class='av-share-link av-social-link-facebook avia_social_iconfont' ><a target=\"_blank\" aria-label=\"Share on Facebook\" href='https:\/\/www.facebook.com\/sharer.php?u=https:\/\/cyberant.com\/en\/de-vattenfall-case-responsible-disclosure\/&#038;t=De%20Vattenfall%20case%20%E2%80%93%20Responsible%20Disclosure' data-av_icon='\ue8f3' data-av_iconfont='entypo-fontello'  title='' data-avia-related-tooltip='Share on Facebook'><span class='avia_hidden_link_text'>Share on Facebook<\/span><\/a><\/li><li class='av-share-link av-social-link-twitter avia_social_iconfont' ><a target=\"_blank\" aria-label=\"Share on X\" href='https:\/\/twitter.com\/share?text=De%20Vattenfall%20case%20%E2%80%93%20Responsible%20Disclosure&#038;url=https:\/\/cyberant.com\/en\/?p=47626' data-av_icon='\ue932' data-av_iconfont='entypo-fontello'  title='' data-avia-related-tooltip='Share on X'><span class='avia_hidden_link_text'>Share on X<\/span><\/a><\/li><li class='av-share-link av-social-link-whatsapp avia_social_iconfont' ><a target=\"_blank\" aria-label=\"Share on WhatsApp\" href='https:\/\/api.whatsapp.com\/send?text=https:\/\/cyberant.com\/en\/de-vattenfall-case-responsible-disclosure\/' data-av_icon='\uf232' data-av_iconfont='entypo-fontello'  title='' data-avia-related-tooltip='Share on WhatsApp'><span class='avia_hidden_link_text'>Share on WhatsApp<\/span><\/a><\/li><li class='av-share-link av-social-link-linkedin avia_social_iconfont' ><a target=\"_blank\" aria-label=\"Share on LinkedIn\" href='https:\/\/linkedin.com\/shareArticle?mini=true&#038;title=De%20Vattenfall%20case%20%E2%80%93%20Responsible%20Disclosure&#038;url=https:\/\/cyberant.com\/en\/de-vattenfall-case-responsible-disclosure\/' data-av_icon='\ue8fc' data-av_iconfont='entypo-fontello'  title='' data-avia-related-tooltip='Share on LinkedIn'><span class='avia_hidden_link_text'>Share on LinkedIn<\/span><\/a><\/li><li class='av-share-link av-social-link-mail avia_social_iconfont' ><a  aria-label=\"Share by Mail\" href='mailto:?subject=De%20Vattenfall%20case%20%E2%80%93%20Responsible%20Disclosure&#038;body=https:\/\/cyberant.com\/en\/de-vattenfall-case-responsible-disclosure\/' data-av_icon='\ue805' data-av_iconfont='entypo-fontello'  title='' data-avia-related-tooltip='Share by Mail'><span class='avia_hidden_link_text'>Share by Mail<\/span><\/a><\/li><\/ul><\/div><\/div>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":11,"featured_media":44616,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[206,216,223,181],"tags":[182,190,191,215],"class_list":["post-47626","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security","category-knowledge-base","category-news-en","category-risk-management","tag-cyber-security-en","tag-datalekken-en","tag-etisch-hacker-en","tag-responsible-disclosure-en"],"_links":{"self":[{"href":"https:\/\/cyberant.com\/en\/wp-json\/wp\/v2\/posts\/47626","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cyberant.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cyberant.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cyberant.com\/en\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/cyberant.com\/en\/wp-json\/wp\/v2\/comments?post=47626"}],"version-history":[{"count":0,"href":"https:\/\/cyberant.com\/en\/wp-json\/wp\/v2\/posts\/47626\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cyberant.com\/en\/wp-json\/wp\/v2\/media\/44616"}],"wp:attachment":[{"href":"https:\/\/cyberant.com\/en\/wp-json\/wp\/v2\/media?parent=47626"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cyberant.com\/en\/wp-json\/wp\/v2\/categories?post=47626"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cyberant.com\/en\/wp-json\/wp\/v2\/tags?post=47626"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}